Jak dowiedzieć się, skąd pochodzi nieprawidłowy certyfikat https?


0

Niektóre witryny https na moim laptopie są dostarczane z nieprawidłowym certyfikatem (do tej pory znalazłem tylko jedną witrynę: https://gstatic.com ). Nieprawidłowy certyfikat jest wydawany przez cloudguard.me (o ile wiem, adware), ale nie znalazłem nic na komputerze - nawet reklamy cloudguard.me nie powinny się wyświetlać. Dzieje się tak w przeglądarce Internet Explorer, Chrome i Firefox.

To pytanie dotyczy konkretnie wstrzykniętego certyfikatu https, a nie ogólnego „sposobu usunięcia złośliwego oprogramowania xy z mojego komputera”. Jestem przekonany, że na moim komputerze nie ma (aktywnego) adware oprócz tego niepoprawnego certyfikatu https (resztki)

Sprawdziłem już następujące elementy:

  • brak proxy używanego przez przeglądarki.
  • zainstalowane oprogramowanie (wszystko jest rozliczane)
  • uruchomione procesy (nic podejrzanego - wszystko podpisane, brak hitów virustotal)
  • usługi: nic podejrzanego
  • sprawdzane w autoruns pod kątem nietypowych przedmiotów: nic
  • cert. manager: brak certyfikatów przez cloudguard.me
  • połączony przez VPN z Internetem (aby wykluczyć MITM)
  • zrobił pełny skan z anwirusem avira (bezpłatny)
  • Utworzono nowe konto użytkownika: te same objawy

Nie wiem, czy sam certyfikat jest ważny, jeśli chcesz na niego spojrzeć:

Base64 encoded X.509

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Byłoby świetnie, gdyby ktoś miał pomysł, jak rozwiązać ten problem lub gdzie indziej szukać. Dzięki!


Wygląda na to, że CloudGuard.me jest częścią pakietu złośliwego oprogramowania, więc usuń złośliwe oprogramowanie, a problem powinien zostać rozwiązany.
JakeGould,


Sprawdź, czy nie korzystasz z serwera proxy. Chrome, IE i Firefox przestrzegają ustawień proxy w systemie Windows.
Ramhound

@Ramhound bez proxy włączony.
wischi

1
@Ramhound imgo nie jest to duplikat, ponieważ konkretnie szukam metod, które można zamienić, których nie wymieniono powyżej.
wischi

Odpowiedzi:


0

Twój komputer przejdzie na adres IP cloudguard.me, gdy wyszuka adres gstatic.com.

Złośliwe oprogramowanie zmieniło ustawienia DNS, aby rozpoznać niektóre nazwy na swoim złośliwym serwerze w celu wstrzyknięcia reklamy.

Napraw ustawienia DNS, aby korzystać z DNS usługodawcy internetowego i - jeśli złośliwe oprogramowanie naprawdę zostało usunięte - problem powinien zniknąć.


Wow, czuję się teraz taki głupi. Zmieniłem ustawienia DNS i działa jak urok. Dzięki.
wischi

Złośliwe oprogramowanie zmieniające DNS to plaga. Cieszę się, że Twój komputer działa teraz lepiej.
Eric
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.